Objet: Bulletin d’actualité CERTFR-2024-ACT-009

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 6

Tableau récapitulatif :

Vulnérabilités critiques du 11/02/24 au 19/02/24

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Microsoft	SmartScreen	CVE-2024-21351	7.6	Contournement de la politique de sécurité	13/02/2024	Exploitée	CERTFR-2024-AVI-0128	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21351
Microsoft	Windows	CVE-2024-21412	8.1	Contournement de la politique de sécurité	13/02/2024	Exploitée	CERTFR-2024-AVI-0128	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
Microsoft	Outlook	CVE-2024-21413	9.8	Exécution de code arbitraire à distance	15/02/2024	Pas d’information	CERTFR-2024-AVI-0127	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
Microsoft	Exchange Server	CVE-2024-21410	9.8	Élévation de privilèges	13/02/2024	Exploitée	CERTFR-2024-AVI-0131	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
Liferay	Liferay DXP, Liferay Portal	CVE-2024-25145	9.6	XSS	15/02/2024	Pas d’information	CERTFR-2024-AVI-0141	https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25145
SAP	SAP ABA (Application Basis)	CVE-2024-22131	9.1	Exécution de code arbitraire à distance	13/02/2024	Pas d’information	CERTFR-2024-AVI-0125	https://me.sap.com/notes/3420923
Adobe	Adobe Commerce, Magento Open Source	CVE-2024-20719	9.1	XSS, undefined	13/02/2024	Pas d’information	CERTFR-2024-AVI-0123	https://helpx.adobe.com/security/products/magento/apsb24-03.html
Adobe	Adobe Commerce, Magento Open Source	CVE-2024-20720	9.1	Exécution de code arbitraire à distance	13/02/2024	Pas d’information	CERTFR-2024-AVI-0123	https://helpx.adobe.com/security/products/magento/apsb24-03.html

CVE-2024-21351, CVE-2024-21412, CVE-2024-21410 : Multiples vulnérabilités dans les produits Microsoft

Le 13 février 2024, lors de sa mise à jour mensuelle, l’éditeur a publié 73 bulletins de sécurité. Parmi ces bulletins, trois vulnérabilités sont activement exploitées d’après la CISA [1]:

• la vulnérabilité CVE-2024-21351 permettant un contournement de la politique de sécurité sur Windows SmartScreen ;
• la vulnérabilité critique CVE-2024-21410 permettant une élévation de privilèges sur Exchange Server ;
• la vulnérabilité CVE-2024-21412 permettant une élévation de privilèges sur Windows.

Liens :

• Avis CERTFR-2024-AVI-0128
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21351
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
• [1] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Rappel des alertes CERT-FR

CVE-2024-21413 : Vulnérabilité dans Outlook

Le 13 février 2024, lors de sa mise à jour mensuelle, Microsoft a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-21413 concernant le produit Outlook. Cette vulnérabilité permet à un attaquant non authentifié de divulguer le condensat NTLM (new technology LAN manager) local et potentiellement une exécution de code arbitraire à distance. Ce condensat peut ensuite servir à l’attaquant pour tenter d’élever ses privilèges (ex.: attaque par relai NTLM).

Liens :

• Alerte CERTFR-2024-ALE-005
• Avis CERTFR-2024-AVI-0127
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413

Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways

Le 14 février 2024, Ivanti a publié un correctif pour la vulnérabilité CVE-2024-22024 concernant les produits Ivanti Connect Secure, Ivanti Policy Secure et ZTA gateways.

Liens

• Alerte CERTFR-2024-ALE-001
• https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

CVE-2024-21762 : Vulnérabilité dans Fortinet FortiOS

Le 15 février 2024, Fortinet a mis a jours la liste des produits affecté par la vulnérabilité critique CVE-2024-21762. Plusieurs versions du serveur mandataire FortiProxy sont concernés.

Liens

• Alerte CERTFR-2024-ALE-004
• Avis CERTFR-2024-AVI-0108
• https://www.fortiguard.com/psirt/FG-IR-24-015

Autres vulnérabilités

CVE-2020-3259 : vulnérabilité dans les produits Cisco

Le 15 février 2024, la CISA déclare avoir connaissance de l’exploitation active de la vulnérabilité CVE-2020-3259 par des attaquants [2]. Cette vulnérabilité permet à un attaquant de provoquer une atteinte à la confidentialité sur Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD). Le CERT-FR recommande donc d’appliquer le correctif de sécurité dans les plus brefs délais.

Liens :

• Alerte CERTFR-2020-ALE-018
• Avis CERTFR-2020-AVI-274
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-info-disclose-9eJtycMB
• [2] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

CVE-2024-23479, CVE-2024-23476, CVE-2023-40057 : Multiples vulnérabilités dans SolarWinds Access Rights Manager

Le 6 février 2024, SolarWinds a publié les avis de sécurité concernant les vulnérabilités critique CVE-2024-2379, CVE-2024-2376 et CVE-2023-40057 affectant le Access Rights Manager (ARM). Ces vulnérabilités permettent à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Liens :

• https://www.solarwinds.com/trust-center/security-advisories/cve-2024-23479
• https://www.solarwinds.com/trust-center/security-advisories/cve-2024-23476
• https://www.solarwinds.com/trust-center/security-advisories/cve-2023-40057

CVE-2024-24691 : Vulnérabilité dans les produits Zoom

Le 13 février 2024, Zoom a publié l’avis de sécurité concernant la vulnérabilité critique CVE-2024-24691 affectant les produits fonctionnant sous windows suivant : Desktop Client, VDI Client, Rooms Client et Meeting SDK. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une élévation de privilèges à distance.

Lien :

• https://www.zoom.com/en/trust/security-bulletin/ZSB-24008/

 

---

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 12 au 18 février 2024, le CERT-FR a émis les publications suivantes :

• CERTFR-2024-ALE-005 : [MàJ] Vulnérabilité dans Microsoft Outlook
• CERTFR-2024-AVI-0117 : Multiples vulnérabilités dans SolarWinds Platform
• CERTFR-2024-AVI-0118 : Multiples vulnérabilités dans les produits Qnap
• CERTFR-2024-AVI-0119 : [SCADA] Multiples vulnérabilités dans les produits Siemens
• CERTFR-2024-AVI-0120 : [SCADA] Multiples vulnérabilités dans les produits Schneider
• CERTFR-2024-AVI-0121 : Multiples vulnérabilités dans Typo3
• CERTFR-2024-AVI-0122 : Multiples vulnérabilités dans Bind
• CERTFR-2024-AVI-0123 : Multiples vulnérabilités dans les produits Adobe
• CERTFR-2024-AVI-0124 : Multiples vulnérabilités dans les produits Intel
• CERTFR-2024-AVI-0125 : Multiples vulnérabilités dans SAP
• CERTFR-2024-AVI-0126 : Vulnérabilité dans Google Chrome
• CERTFR-2024-AVI-0127 : Multiples vulnérabilités dans Microsoft Office
• CERTFR-2024-AVI-0128 : Multiples vulnérabilités dans Microsoft Windows
• CERTFR-2024-AVI-0129 : Multiples vulnérabilités dans Microsoft .Net
• CERTFR-2024-AVI-0130 : Multiples vulnérabilités dans Microsoft Azure
• CERTFR-2024-AVI-0131 : Multiples vulnérabilités dans les produits Microsoft
• CERTFR-2024-AVI-0132 : Vulnérabilité dans Grafana
• CERTFR-2024-AVI-0133 : Multiples vulnérabilités dans Nginx
• CERTFR-2024-AVI-0134 : Multiples vulnérabilités dans les produits Tenable
• CERTFR-2024-AVI-0135 : Vulnérabilité dans Squid
• CERTFR-2024-AVI-0136 : Vulnérabilité dans les produits ESET
• CERTFR-2024-AVI-0137 : Multiples vulnérabilités dans les produits F5
• CERTFR-2024-AVI-0138 : Vulnérabilité dans Stormshield Network Security
• CERTFR-2024-AVI-0139 : Multiples vulnérabilités dans les produits Palo Alto Networks
• CERTFR-2024-AVI-0140 : Multiples vulnérabilités dans Liferay
• CERTFR-2024-AVI-0141 : Vulnérabilité dans Liferay
• CERTFR-2024-AVI-0142 : Vulnérabilité dans NetApp SnapCenter
• CERTFR-2024-AVI-0143 : Multiples vulnérabilités dans le noyau Linux Ubuntu
• CERTFR-2024-AVI-0144 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2024-AVI-0145 : Multiples vulnérabilités dans les produits IBM
• CERTFR-2024-AVI-0146 : Multiples vulnérabilités dans le noyau Linux de RedHat

Durant la même période, les publications suivantes ont été mises à jour :

• CERTFR-2023-ALE-010 : Multiples vulnérabilités dans Exim
• CERTFR-2023-ALE-011 : [MàJ] Multiples vulnérabilités dans Cisco IOS XE
• CERTFR-2023-ALE-012 : [MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway
• CERTFR-2023-ALE-013 : Vulnérabilité dans Apache Struts 2